Тут недавно истёк срок действия NDA у сотрудников RSA Security, и они наконец-таки поведали о деталях легендарной атаки 2011 года. Атаки, напомню, очень ироничной: RSA всё-таки сама безопасностью занимается.

А почему легендарной? Потому что это была первая в мировой истории supply chain attack. Суть очень простая: не можешь вскрыть очень прочно защищённую компанию-цель — найди используемые ею продукты и вскрой их. Это сейчас такая история периодически повторяется (например, такое было с SolarWinds), а тогда — прямо настоящее новшество.

Если вкратце, хакеры вскрыли хранилище сидов. Эти сиды использовались для генерации 2FA-кодов в SecurID, основном продукте RSA. Учитывая, что среди пользователей десятки миллионов клиентов из банков, правительственных и военных агентств, крупных корпораций и иже с ними, получается довольно внушительно.

Безопасник RSA Тодд Литхэм первым заметил странного пользователя на сервере и заподозрил взлом. Его попытки помешать хакерам оказались безуспешными, как и все старания их после этого поймать. Злоумышленники ускользнули без следа, отобрав у RSA ценнейшие данные и репутацию. Оставили после себя только подозрения о том, что это был кто-то из киберразведки НОАК. Или нет?..

Полную саспенса историю можно почитать на Хабре. Спойлер: началось всё с того, что один сотрудник RSA сидел под старыми Виндой и Офисом, а также не поставил никаких ограничений на установку подозрительных программ. И вот пришло этому сотруднику, жившему в век до современных ИБ-тренингов, безобидное письмо на почту…

https://habr.com/ru/company/itsumma/blog/558604/

А ещё у нас недавно вышла статья на Хабре про серьёзную уязвимость в платформе для обучения пентестам TryHackMe. Оказывается, виртуальные стенды в ней — всевидящее око, с помощью которого при желании можно вытянуть с машин пользователей данные или что-нибудь на них поделать. Вот так вот сидишь, нарешиваешь виртуалки, а с твоей машины кто-то может майнить крипту.

https://habr.com/ru/company/tomhunter/blog/562826/

Роскомнадзор решил заблокировать доступ к VyprVPN и бесплатному встроенному ВПН Оперы для всех, кроме особого белого списка компаний. Затеяно всё это, конечно, для защиты тебя от запрещённого контента вроде Линкедина. Как результат, Опера оперативно убрала ВПН для российских пользователей, не согласившись фильтровать трафик. Кнопка включения ВПН пропала, а вкладка, где она была, из «Конфиденциальности и безопасности» стала просто «Безопасностью».

Пока ничего не известно о том, затронут ли похожие ограничения других ВПН-провайдеров, хотя якобы список целей Роскомнадзора на грядущие годы уже пару месяцев гуляет в сети. Если ему верить, дальше на очереди Hola! и ExpressVPN. Пару лет назад, помню, РКН под угрозой блокировки уже требовал у многих провайдеров из списка дать доступ к своим серверам в России и подключиться к блэклисту. В ответ те просто-напросто свернули эти самые сервера. Посмотрим, продолжится ли эта история.

https://habr.com/ru/news/t/563384/

Вот казалось бы, смотришь — милейшая женщина. Верстает себе сайты, на форумах раздаёт советы тем, кто только начал постигать фронтенд, да рассказывает на страничке ВК, как хочет быть крутым программистом и летать к клиентам в разные страны. А потом раз, и милейшую женщину арестовывают во время перелёта над Майями как опасную киберпреступницу, работавшую над небезызвестным Trickbot.

Брайан Кребс изучил историю 55-ти летней Аллы Витте, которую в начале июня осудили за финансовые преступления в США. Оказывается, подкованная в делах малверных преступница до парадоксального беспечно относилась к собственной безопасности: её персональные данные были доступны всем членам кибергруппировки. Кроме того, малварь Trickbot лежала на сайте с её именным доменом, а сама Алла преспокойненько путешествовала там, где её могли перехватить американские спецслужбы. Спецслужбы, собственно, это и сделали.

В дополнение к истории Аллы Брайан Кребс рассматривает рекрутинговые процессы кибергруппировки Trickbot. Ничего особенного: сидят на каком-нибудь хедхантере, просматривают резюме программистов в поиске и скидывают тестовые задания. По этим заданиям многие потенциальные кандидаты быстро догадываются, для чего можно использовать подобный софт. Как водится, часть отказывается сразу, а с оставшимися начинают сотрудничать. Не догадаться, впрочем, довольно тяжело.

https://krebsonsecurity.com/2021/06/how-does-one-get-hired-by-a-top-cybercrime-gang/

Думаю, не только мне начинали звонить с великодушными предложениями дать денег на разнообразных выгодных условиях, стоило только дыхнуть в сторону какого-нибудь банка своими данными. Ну да ладно, виртуальных номеров для таких широких душ не жалко.

А тут вот финтех-сервис начал получать жалобы от пользователей. Сливаете, мол, данные: едва финтех одобрил кредит, на номер тут же посыпались кредитные предложения от брокеров и других банков. Финтех изучил вопрос и пришёл к выводу, что спам льётся выборочно, только примерно трети пользователей. Всё проверили, от формы подачи заявки на кредит до обрабатывающего часть заявок сотрудника, и везде было чисто.

Оказывается, все данные сливает оператор: почитывает смски, выцепляет из них ключевые слова, приправляет данными из других источников и делится полученным с релевантными конторами. Даже договор с этими самыми конторами есть. Формально всё даже вполне законно. Ну, почти — просто никто не взялся. На самом деле абоненты не выдавали оператору согласий на всё, поэтому реализация довольно серая.

Неназванный финтех из ситуации вышел весьма благополучно — договорился с оператором, что с его клиентами так поступать не будут. А тебе посоветую всё же не делиться с различными формами настоящим номером, если до сих пор так делаешь. Сыплющихся со всех сторон щедрейших предложений потом не оберёшься.

https://habr.com/ru/company/domclick/blog/561774/

Недавно немало шума наделала история о взломе Electronic Arts. Напоминаю, хакеры залогинились в корпоративный Слак, написали во внутреннюю техподдержку и пожаловались, что посеяли телефон на последней вечеринке, не могут теперь никуда зайти. Поддержка посочувствовала да выдала им доступы. Находчивые тусовщики забрали немало ценностей, например исходники Frostbite и FIFA 21. Последние позднее отправились на продажу.

Внимательный читатель может поинтересоваться, как они в Слак-то вообще залогинились. Очень просто — купили слитые куки на Genesis Market, специальной закрытой площадке под это дело.

На маркете приобретается не конкретная куки, а «бот» — взломанная машина, часть ботнета. Все логины и явки, имеющиеся на этом боте, достаются покупателю. Если хочется, ещё можно воспользоваться браузерным расширением от Генезиса, чтобы полностью скопировать браузер жертвы. Иногда такое позволяет обходить 2FA: сервис просто распознает куки и не запрашивает дополнительных подтверждений.

Перед покупкой можно посмотреть, куки для каких сайтов есть на конкретном боте. Исследователи из ИБ-компании сообщают, что на Генезисе нашлось аж 3500 с лишним кук от Слака!

В завершение напомню тебе, что любым ценным данным в куках не место. Спрячь их хотя бы в менеджер паролей. Или в сейф, надёжно закопанный в потайном бункере.

https://www.vice.com/en/article/n7b3jm/genesis-market-buy-cookies-slack

Вот представь форум. На форуме сидят киберпреступники и занимаются своими обычными киберпреступными делами. Что же такого должен сделать киберпреступник, чтобы коллеги неодобрительно покачали головами и забанили его форумный аккаунт?

Самый забавный и самый же очевидный проступок — скам скамеров. Решает человек прикупить логи какой-нибудь ворующей пароли малвари, а продавец берёт с него деньги и благополучно исчезает. Если жертва убедительно докажет недобропорядочность торговца логами, админы форума забанят его аккаунт.

Нельзя неуважительно относиться к команде форума. Например, один незадачливый пользователь создал топик, в котором поинтересовался, не сотрудничает ли форум с органами. Модерация шутки не оценила, и пользователь поймал бан.

Разумеется, безжалостно банятся аккаунты, которых заподозрили в таком сотрудничестве. Обычно ИБ-исследователи выделяются среди форумчан пустыми аккаунтами и повышенным вниманием к названиям компаний, ставших жертвами преступников.

Ещё банят за несоблюдение кодекса чести киберпреступника, известного также как свод правил форума. Одно из самых общепринятых довольно известно: не таргетить свою же страну. Неприлично, понимаете ли, воровать что у коллег, что у сограждан.

В общем, ничто человеческое не чуждо.

https://www.digitalshadows.com/blog-and-research/why-do-users-get-banned-from-cybercriminal-forums/

Я на днях писал о том, как предприимчивые хакеры торгуют куками, украденными с заражённых компьютеров. И без подобных историй вполне очевидно, что делиться с браузером всеми-всеми паролями — это не очень разумно. Может, у меня профдеформационная паранойя, но я браузерному менеджеру паролей доверяю только то, что в любом случае было бы не жалко потерять.

В вечернем посте поделюсь статьёй как раз по теме. Если конкретно, о том, что менеджер паролей менеджеру паролей рознь. Онлайновые с облачным хранилищем отличаются от встроенного менеджера какой-нибудь Лисы примерно ничем. Ну, разве что лисовский побезопаснее будет, да и суммы в пару чашек кофе в месяц не требует.

Проблем у менеджеров паролей вида «вы нам N денег, а мы вам защищённое облачное хранилище™ и удобное браузерное расширение» вагон и маленькая тележка. Начиная с того, что приходится верить в честное слово и светлые головы разработчиков, созданное которыми хранилище никогда-никогда никто не вскроет. И заканчивая тем, что у самих расширений немало уязвимостей: например, в некоторых попадались баги, позволявшие дистанционно исполнять на машине любой код и воровать пароли.

Поэтому наш вариант (и то, что я всегда имею в виду, произнося «менеджер паролей») — локальные решения с открытым кодом и собственная светлая голова на плечах.

https://habr.com/ru/company/vdsina/blog/564578/

На днях в продаже оказался датасет из 700 миллионов (то есть, больше 90%) пользователей Линкедина. В базе есть, например, номера телефонов, метки геолокации, ссылки на аккаунты в соцсетях, предполагаемые зарплаты и много чего ещё.

Паролей в открытом виде там всё-таки нет, к счастью, так что можно чуть выдохнуть. Какие у этого есть потенциальные последствия? Вообще, не очень хорошие — от взломов аккаунтов и целого праздника социальной инженерии до краж личности. Датасет тут оставляет приличное пространство для творчества.

Никаких взломов или утечек в привычном понимании слова, однако, не было. Продавец сообщает, что все данные просто-напросто вытянул через API. Что-то похожее с Линкедином происходило в апреле, только тогда такие данные появились для 500 миллионов человек. Они сейчас открещиваются в СМИ и сообщают, что-де не виноваты, но возможность такого использования API — сама по себе серьёзная брешь.

Каждая такая сокровищница данных — отнюдь не лишнее напоминание о том, сколько всего мы иногда необдуманно оставляем где ни попадя. Сел делать красивое резюме на сайте с солидным синим логотипом, а оно уже составило на тебя мини-досье и покладисто его передает по первой просьбе играющимся с API даркнетовским торговцам. Такое себе.

https://restoreprivacy.com/linkedin-data-leak-700-million-users/

Доброго тебе утра! Или не очень доброго. Почти две недели назад я писал о том, что Роскомнадзор заблокировал встроенный ВПН Оперы и VyprVPN. Я ещё упоминал тогда список возможных целей по ВПН-блокировкам на будущее, который неофициально гулял по интернету с апреля. Так вот: он, похоже, вполне реалистичен.

Вчера Роскомнадзор попросил компании уведомить его, если они используют в своих процессах Hola!VPN, ExpressVPN, NordVPN, Speedify VPN, IPVanish VPN или KeepSolid VPN Unlimited. Вполне очевидно, что все эти провайдеры следующие на очереди — об этом сообщается прямым текстом. Пользующиеся ими компании вынесут в белый список, как при прошлых блокировках.

Пока любопытно, как именно это будут реализовывать. В Китае заблокированы все сайты компаний, на которых можно создать аккаунт и оплатить подписку, но примерно половина провайдеров из списка выше всё равно работает, если аккаунт и софт уже есть. Что ж, будем наблюдать за событиями грядущих дней: в прошлый раз РКН аналогичным образом предупреждали компании за месяц до блокировки.

https://www.rbc.ru/technology_and_media/30/06/2021/60dcc2ff9a79470e089055ac

Только недавно писал про первую в истории supply chain атаку, а тут вот: вчера вечером группировка REvil одним махом зашифровала файлы сотен американских компаний. Объединяет всех жертв только то, что они были клиентами Kaseya VSA, провайдера софта для мониторинга ИТ-инфраструктуры. У пострадавших уже вымогают за расшифровку данных от $45000 до $5 миллионов в XMR.

Считаю, довольно занятно, что хакеры вообще прибегнули к рансомвари, получив такие доступы.

Взлом произошёл вечером пятницы, поэтому масштабы атаки получше прояснятся на следующей неделе. Кажется, задели только тех, кто использовал продукты Kaseya локально, а не в облаке.

Механика такая: Kaseya кладёт через автоапдейт в c:\kworking файл agent.crt, подписанный как некий хотфикс. Сразу проходит PowerShell-команда, которая через стандартную certutil.exe обрабатывает файл и кладёт в ту же папку agent.exe. Agent.exe, в свою очередь, прогоняет MsMpEng.exe и mpsvc.dll. Второй файлик — это вот, собственно, и есть шифровщик Revil. А первый — старая версия Microsoft Defender, через которую этот dll запускается и радостно всё шифрует.

Забавный (ну, насколько возможно) бонус: в конфигурацию и ключи реестра хакеры-шутники закидывают политоту. Например, некоторые версии вируса загружаются в безопасном режиме, поставив паролем по умолчанию DTrump4ever. А другие варианты добавляют в реестр ключ HKLM\SOFTWARE\Wow6432Node\BlackLivesMatter.

https://www.scmagazine.com/home/security-news/ransomware/kaseya-vsa-systems-under-active-attack-as-company-tells-customers-to-shutdown/
https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/

Поговорим в этот воскресный вечер о неосторожности.

В службе диспетчера печати Windows есть PrintNightmare — уязвимость нулевого дня, позволяющая полностью завладеть атакованной системой. Её обнаружили ещё в начале года, но сочли не особо опасной: казалось, через неё можно было только повышать привилегии.

Однако недавно Microsoft сообщила, что уязвимость позволяет удалённо запускать любой код с SYSTEM-привилегиями. Компания настоятельно посоветовала администраторам отключить Windows Print Spooler. Полноценного патча всё ещё нет: выпущенный ранее в июньский вторник обновлений исправил первоначальную проблему с привилегиями, но не более широкую уязвимость. Она, кстати говоря, касается всех версий Windows.

Ранее о PrintNightmare почти не писали. Наконец, 28 июня ИБ-исследователи из RedDrip Team рассказали про уязвимость и показали гифку с их эксплойтом под неё. А потом на Гитхабе появился подробный технический отчёт, к которому любезно прилагался код работающего эксплойта. Похоже, это была чья-то ошибка, которая прожила несколько часов, но клонировать репо всё равно успели. Новости с полей ничего хорошего не обещают: Microsoft подтвердила, что уязвимостью уже пользуются. Что ж, будем ждать патч.

https://xakep.ru/2021/06/30/printnightmare/

Снова про атаку на Kaseya, о которой я писал пару дней назад. Напоминаю, вечером минувшей пятницы взломали одну из крупнейших американских компаний, продающих ПО для мониторинга ИТ-инфраструктуры. Хакеры внедрили классическую рансомварь.

Во-первых, стал известен примерный маштаб атаки — больше тысячи компаний из как минимум 17 стран, в основном США и Германии. Президент США Байден сообщил о федеральном расследовании атаки и упомянул, что рассматривается вариант с её российскими корнями.

Во-вторых, хакеры сообщили на своём сайте, что готовы опубликовать там же универсальный декриптор, если кто-то пожелает заплатить им за это 70 миллионов долларов в биткоинах. По нынешнему курсу это чуть больше 2 тысяч BTC. Похоже, атака вышла масштабнее, чем взломщики ожидали, и индивидуальная работа с жертвами оказалась сущим кошмаром.

https://www.npr.org/2021/07/05/1013117515/scale-details-of-massive-kaseya-ransomware-attack-emerge

Доброго утра! Сегодня рассмотрим любопытную малварную особь — мультиязычную и мультиплатформенную.

В марте Лаборатория Касперского рассказала о буйствующем на Ближнем Востоке трояне Milum, группировку-автора которого назвали WildPressure. Оказывается, есть ещё две очень похожие версии зловреда на других языках: мартовская малварь была написана на плюсах, а две новые версии — на Visual Basic и Питоне. Все три могут самообновляться, собирать данные, загружать файлы и выполнять любые команды оператора.

Та, что на Питоне, мультиплатформенная, работает и под macOS. Весьма загадочное решение, учитывая целевой регион жертв. Впрочем, вскрытие показало, что мультиплатформенность не стоила авторам особых усилий, благо что в яблочной оси ещё и интерпретатор Питона идёт из коробки.

В Касперском предполагают, что в основном жертвами вируса стали нефтегазовые компании. На этот раз для распространения зловреда использовались не только VPS, но и взломанные WordPress-сайты.

https://www.kaspersky.ru/about/press-releases/2021_laboratoriya-kasperskogo-kibergruppa-wildpressure-atakuet-ne-tolko-windows-no-i-macos

https://securelist.com/wildpressure-targets-macos/103072/

Вот смотри, есть совершенно обычный телефон с совершенно обычным набором приложений на главном экране: Тиндер, Фейсбук, Инстаграм, игрушечки даже мобильные стоят. Ничего из этого не работает, правда. Почему? Потому что надо перезагрузить устройство и ввести другой пин-код.

И тогда телефон превращается... превращается телефон... в весьма загадочный девайс, на главном экране которого есть только калькулятор, часы и настройки. Если попробовать открыть калькулятор, вместо него получаешь не менее загадочный экран входа.

Телефон всё же весьма необычный: это центр недавно завершившейся спецоперации. Преступники пользовались анонимным мессенджером Anom, который, как они считали, надёжно шифрует их сообщения.

На самом деле Anom (и ArcaneOS, дистрибутиве Андроида, на которой работает устройство) — правительственная разработка, с помощью которой спецслужбы США и Австралии свободно изучали переписки преступников, а в начале июня организовали множество арестов по 16 странам. Как результат, владельцы телефонов с Anom начали массово избавляться от устройств, отдавая их за символические суммы. Один из покупателей догадался, что с телефоном что-то не так, и быстро понял, что.

Забавных моментов много. Переключатель отслеживания локации в принципе тактично отсутствует — если о нём специально не задуматься, можно и не заметить. При этом фичей категории «театр безопасности» более чем достаточно. Например, при вводе пин-кода цифры визуально перемешиваются, чтобы стоящий рядом человек не смог отследить нажатие клавиш.

Вот такие артефактные «троянские щиты», как метко назвали операцию ФБР.

https://www.vice.com/en/article/n7b4gg/anom-phone-arcaneos-fbi-backdoor

Gettr, правый аналог Твиттера, который задумывался как островок свободы слова, взломали 5 июля, в первый же день после запуска. Хакер раскрасил аккаунты известных республиканцев, дописав в ники лозунги о свободе Палестине. Что ж, наивно было ожидать чего-то другого и наивно было запускаться с настолько слабой защитой.

Через несколько дней на хакерских форумах появились крупные датасеты, собранные как скрейпингом, так и через не особо защищённое API. После первого скрейпа Gettr улучшил защиту, но некотрые пользователи всё-таки обошли её и вытянули больше данных. В датасетах настоящее раздолье: от настоящих имён и года рождения до почты.

Похожее совсем недавно было с Linkedin, причём не единожды: в апреле вытянули данные 500 миллионов человек, а в конце июня — уже 700 млн.

Почти то же в начале года случилось с Parler, предшественником Gettr. На фоне беспорядков в Капитолии AWS лишили их серверов, а Google и Apple дружно удалили приложение из своих сторов. Чуть позже неизвестная вытянула из Parler миллионы постов, видео и фото, в том числе удалённых ранее авторами и приватных. Кроме того, в датасете оказались метаданные, например о локации и времени съёмки. Оказалось, Parler их не удалял. В этом случае «хакеру» и стараться-то толком не пришлось: айди постов в Parler имели строго хронологический порядок. Увеличиваешь ID в адресе на 1, и вот тебе следующий по времени пост на платформе. Собирай — не хочу, красота.

А выводы мы можем сделать всё те же: чем меньше данных о тебе есть у любой платформы, тем лучше. В конце концов, твоя приватность должна тебя заботить куда уж больше, чем автора топорного API очередной соцсети.

https://xakep.ru/2021/07/07/gettr-leak/

Пуф! Onion-сайт REvil, организатора недавней атаки на Kaseya, куда-то исчез. Лежат и те страницы, на которых жертвы могли обсудить условия возвращения данных, и та, на которой это можно было оплатить. На хакерских форумах представители группировки тоже подзатихли.

Многие издания гадают, не знак ли это того, что Империя США нанесли ответный удар. А может, до группировки наконец-таки добрались российские спецслужбы? На мой взгляд, едва ли. Не исключено, что они скоро вернутся — их Happy Blog, случалось, уже пропадал ненадолго и восставал обратно.

Даже если нет, не факт, что это вообще хоть что-нибудь значит — может, на фоне резко возросшего внимания со стороны самых разных спецслужб ребята просто решили организовать ребрендинг и тихо перекрасить паруса. В мае группировка DarkSide, атаковавшая Colonial Pipeline и положившая на пять дней трубопроводную систему по всей Америке, тоже полностью ушла в оффлайн, но было бы наивно предполагать, что они не пересоберутся под другим именем. То же справедливо и здесь: в конце коцнов, REvil — актор почти четверти всех кибератак на западные цели.

Интересно только, что сейчас будут делать жертвы, ещё не успевшие решить свои проблемы и выкупить доступ к данным. Вот уж кому не позавидуешь — совсем безответственные какие-то хакеры.

https://threatpost.com/ransomware-revil-sites-disappears/167745/

Тут недавно вспомнили, что в Хроме, Сафари и IE были уязвимости нулевого дня, которые активно эксплуатировались в различных атаках за этот год. Особенно отмечу сейчас ту, что была в яблочном WebKit: с ней связаны занятные детали.

Суть простая: западноевропейские госслужащие получали в Линкедине ссылки, которые, если их открыть с Сафари на айфоне или айпаде, редиректили жертву на вредонос. Вредонос, в свою о чередь, тянул у пользователя куки для Google, Facebook, Linkedin и прочих популярных сайтов, а затем передавал на подконтрольный хакерам IP через вебсокет.

Подозревается, что за этим стоят те же деятели, что и за легендарной прошлогодней supply chain-атакой на SolarWinds. Microsoft предполагала, что в мае эти ребята через ту же уязвимость в яблочном WebKit получили доступ к почтам Агентства США по Международному развитию, с которых затем рассылались письма со ссылками на малварь. Цели впечатляющие — среди них политические аналитические центры, государственные органы и не только, например ОБСЕ. А хакеры, как водится, русские.

Многовато в последнее время как-то уязвимостей нулевого дня развелось, однако.

https://www.securitylab.ru/news/522349.php

Неделя подходит к концу, так что подведём итоги ещё одной свежей атаки на SolarWinds: несколько дней назад специалисты из Microsoft нашли в её продуктах уязвимость нулевого дня.

Затрагивала она только Serv-U Managed File Transfer и Serv-U Secure FTP. В реализации SSH-протокола была уязвимость, позволявшая получать админские права и исполнять на машине любой код. Патч уже есть, но уязвимость, по словам SolarWinds, затрагивает все версии софта от 5 мая и старше.

Уязвимостью этой успели живо попользоваться загадочные китайские акторы — это выяснили те же исследователи из Microsoft, что и обнаружили изначально саму проблему. Целились в американские правительственные агентства и IT-корпорации. Напомню, что подобных клиентов у печально известной SolarWinds предостаточно.

Судя по отчёту, о котором вчера писали Cyberscoop, США изрядно обеспокоены хищным китайским киберинтересом к себе. АНБ, ФБР и Министерство внутренней безопасности говорят, что поднебесные хакеры крайне агрессивно ломятся к американской защитной промышленности, университетам и корпорациям, пока президент страны повышенное внимание уделяет группировкам из России.

Обсудить этот вопрос публично собираются на грядущих неделях — возможно, даже в этот понедельник.

Что ж, справедливо.

https://xakep.ru/2021/07/13/serv-u-rce/

Сегодня, к счастью, без экшна: никаких жертв не было, всё заметили и починили вовремя, но случай всё равно занятный.

Ты почти наверняка слышал про Cloudflare. Оказывается, в их cdnjs была только совсем недавно исправленная RCE-уязвимость, которая могла привести к настоящей эпидемии supply chain-атак — проектом пользуется каждый восьмой сайт.

В чём суть?

Если в cdnjs нет какой-то нужной библиотеки, её можно предложить на Гитхабе. В самом репозитории cdnjs есть скрипт-автообновлятор, тянущий новые версии библиотек по npm-путям, предоставленным их авторами.

Независимый исследователь присмотрелся к коду и понял, что автообновление запускается регулярно, плюс из-под юзера с write-правами. Кроме того, распаковщик архива с обновлениями написан на Go, в котором функция archive/tar сама по себе ничего не санитизирует.

Изучив всю эту картину, исследователь задумался о том, что будет, если в npm-версии предложенной библиотеки окажется эксплойт обхода каталога.

Залил тестовую библиотеку, попробовал, отошёл поужинать, вернулся и увидел, что всё сработало. Потянулся смотреть итоговый файл, чтобы отправить репорт в команду безопасности, а в файле, помимо прочего, ещё GITHUB_REPO_API_KEY репозитория cdnjs лежит. Получился изрядный оверкилл.

Поскольку у cdnjs вся инфраструктура завязана на Гитхабе, в худшем из возможных миров где-то здесь могла начаться масштабная supply chain-атака, способная дотянуться до каждого восьмого сайта. Но мы всё-таки живём в лучшем, поэтому и эксплойт был исследовательским, и команда cdnjs со скоростью света отреагировала на то, что в их репозитории в открытом виде появился гитхабовский API-ключ. Ключ инвалидировали ещё до того, как исследователь успел отправить репорт.

Из разряда потенциального «за секунду до».

https://www.bleepingcomputer.com/news/security/critical-cloudflare-cdn-flaw-allowed-compromise-of-12-percent-of-all-sites/

Больше деталей можно почитать в блоге исследователя, который отрепортил уязвимость: https://blog.ryotak.me/post/cdnjs-remote-code-execution-en/

Недавно Apple тихо и скромно пропатчила баг, считавшийся досадной мелочью. Баг заключался в следующем: если подключиться с айфона к вай-фай сети, у которой в названии есть сочетания знака процента и букв, айфон в принципе разучится подключаться к вайфаю и забудет, что это. Придётся изрядно потанцевать с бубном, чтобы вернуть всё обратно.

Всё оказалось немного неприятнее: на самом деле через эту уязвимость можно провести RCE, и работать это будет даже на пропатченных айфонах. Единственное условие — человек сам должен подключиться к зловредной сети. Правда, для старых айфонов и это не обязательно: они автоматически мониторят доступные сети и подключаются к ним. Выходит, достаточно развернуть зловредную точку доступа рядом с жертвой, и вуаля.

Исследователи говорят, что удалённое выполнение кода возможно из-за wifid — отвечающего за всё вайфайное iOS-демона с root-правами. Если вкратце, вся суть во включении в название сети "%@", чтобы она была интерпретирована как Object C-объект. Через это можно организовать типичную UAF-уязвимость: найти висячий указатель на уже освобождённый кусочек памяти и заполнить этот кусочек своим зловредным кодом.

Учитывающего RCE-уязвимость патча ещё нет, но Apple этим занимается. А пока лучше держись подальше от подозрительных сетей с процентиками в названиях.

https://threatpost.com/unpatched-iphone-bug-remote-takeover/167922/